SRAN Light Presentation 2309

1

2

Pituphong Yavirach

Senior IT Security ConsultantCyber Inspector and Digital Investigator of Service DepartmentGlobal Technology Integrated Co.,Ltd.

Contact

http://www.linkedin.com/in/penguinarmy

http://twitter.com/knoxpix

http://facebook.com/penguinarmy

http://docs.com/@penguinarmy

http://penguinarmy.exteen.com/

http://www.ontflash.com/

Email : [email protected]

Mobile : 08-5551-9113

3

ปญหา ปญหา Virus/worm Virus/worm ทแพรกระจายในระบบเครอขาย ทแพรกระจายในระบบเครอขาย ??

รเครองไมรคน

ร IP ไมรคา MAC Address

ไมรอะไรเลยรคนไมรเครอง

ไมรเครอง ไมรคน แตรวาตดไวรส

ทราบ MAC address ไมรคน

ไมรเครอง สงสยวาเปนคนน

สงสยวาม สงสยวาม Hacker Hacker อยในททำางาน อยในททำางาน

ใครสง ใครสง Spam Spam วะวะ

บรษทเราทำาไมถงตด Blacklist ?

Network ลมบอยบอย

เนตบรษทโครตชาาาา

อยากรสาเหต

Who

WhatWhat

Where

WhenWhen

Why

เนตรวงเปนเรองธรรมชาต

จะร ได ไง

4

หวขอ

สถตภยคกคามทเกดจากการใชงานไอท

สถตภยคกคามทเกดจากคนในองคกร

เหตผลทมระบบเฝาระวงเครอขายองคกร

คณสมบตของ SRAN Light

การตดตงและใชงานทเหมาะสม

SRAN Light ปฏว ต ระบบระบ ต วตนและเฝ าระว งภ ยค กคามเคร อข าย

5

สถตภยคกคามทเกดจากการใชงานไอท

CSI Computer Crime and Security Survey 2008

6

สถตภยคกคามทเกดจากการใชงานไอท

CSI Computer Crime and Security Survey 2008

7

สถตภยคกคามทเกดจากการใชงานไอท

Behaviour Human Threat Statistic

8

สถตภยคกคามทเกดจากคนในองคกร

พบวาสวนใหญแลวผทมความเสยงภยทกอเหตการณอนไมพงประสงค

ลวนแลวแตเปน ผใชงาน (User))

9

สถตภยคกคามทเกดจากคนในองคกร

สาระสำาคญของกฏหมายวาดวยการกระทำาความผดเกยวกบคอมพวเตอร

ทประกาศขนนนคอ “ตองการหาผกระทำาความผดมาลงโทษ”

Log files เปนเพยงเครองมอหนงทใชในการสบสวน และใชในการประกอบคดหาผกระทำาความผดทางคอมพวเตอร

10

เหตผลทมระบบเฝาระวงเครอขายองคกร

Internet, Public Web etc.

Office / LAN Network Your Network

Data Traffic

Your Network

Data Traffic

Your Web site

Internet

Internet

11

เหตผลทมระบบเฝาระวงเครอขายองคกร

ไมมระบบทปองกนได 100%

การปองกนคอการรมความรรทนสถานการณ

SRAN Light

เปนมากกวาการเกบ Log

เราคอระบบเฝาระวงภยคกคามทางเครอขาย

ทระบตวผใชงานได

12

เหตผลทมระบบเฝาระวงเครอขายองคกร

ทางกายภาพมกลองวงจรปดทางระบบไอท ม SRAN Light

ตองอาศยเทคโนโลยทชวยใหรทน

13

เหตผลทมระบบเฝาระวงเครอขายองคกร

14

คณสมบตของ SRAN Light

Monitoring

Analysis

Record

Bandwidth , Protocol

Traffic Data Normal Data Threat Data

Archive Traffic DataSearching and Report

HBW

15

What is HBW ?

Monitoring

Analysis

Record

HBW = Human Behavioural Warning

เปนเทคโนโลยททาง SRAN Technology คดคนขนเพอจดการเชอมโยงพฤตกรรมการใชงานไอทในองคกรกบระบบเครอขายคอมพวเตอร

ซงเทคนคนจะทำาใหเชอมโยงขอมลดงน คอ1. ชอพนกงานในองคกร และแผนกหนวยงาน2. หมายไอพ (IP Address)(3. คา MAC Address4. ระบบปฏบตงาน (Operating System)(โดยไมตองลงซอฟตแวรเพม (Agent less)(

HBW จะทำาใหการระบตวตนในองคกรมประสทธภาพมากขน

16

What is HBW ?

17

Human Behaviour Warning

HBW : >> Inventory and Human Resource

เวลาทพนกงานใชระบบงานไอท

ชอแผนกงานชอพนกงาน

คา IP พนกงานคา MAC Addressของพนกงาน

ระบบปฏบตการของพนกงาน

รปพนกงาน

18

Human Behaviour Warning

HBW >> Real Time Monitoring and Data Tracking

Who

WhatWhereWhen

Why/How

HBW >> Chain of Event

19

Human Behaviour Warning

HBW : >> Identity Theft

ชอพนกงาน

20

คณสมบตของ SRAN Light

Monitoring

Analysis

Record

Bandwidth and Application Protocol

บอกการใชปรมาณขอมลในการรบ-สงขอมล ซงสามารถเลอกดเปนชวงเวลาได

Bandwidth Send – Receive , Data Transfer

Application Send – Receive Web , Mail , Chat UploadDownload , Remote Access

21

การใชงาน SRAN Light ในการสรปภาพรวมระบบเครอขายคอมพวเตอร

1

2

3

4

1สทบงบอกถงภยคกคามทเกดขนบนระบบเครอขาย

2 การใชงาน Protocol ชนดตางๆ TCP, UDP , ICMP , ARP

3 สถตการใชงานขอมลบนระบบเครอขายตามชวงเวลา

4ปรมาณการใชงานทรพยากรเครอง

22

คณสมบตของ SRAN Light

Monitoring

Analysis

Record

Content Analysis

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซงจะดเฉพาะ Subject e-mail ในการรบสง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคมไดวาจะใหแสดงขอความการสนทนาได ซงเปนการปองกนเรองความเปนสวนตวพนกงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)F

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนด P2P เชน Skype เปนตน

Others : Telnet, Remote Desktop, VNC, Radius

ขอมลทเกดจากการใชงานปกต (Normal Traffic) ไดแก

23

คณสมบตของ SRAN Light

Content Analysis >> Normal Traffic

1

2

24

คณสมบตของ SRAN Light

Monitoring

Analysis

Record

Content Analysis ขอมลทเกดจากการใชงานทไมปกต (Threat Traffic) ไดแก

- ลกษณะการแพรกระจายสงผดปกต เชน Virus/worm , Backdoor , Trojan , Malware , Botnet

- ลกษณะการโจมตในชนดตางๆ เชน DDoS/DoS , Brute force password , buffer overflow

- ลกษณะความผดปกตจากการรบ-สงขอมล เชน Spam การรบ-สงขอมลขยะ , Phishing การรบ-สงขอมลทหลอกลวง, การ อปกรณเครอขายทปลอยสญญาณผดปกต จาก Protocol ICMP , SNMP เปนตน

- ลกษณะการปลอมแปลงขอมล เชน การ Spoof คา MAC โดยใชเทคนค ARP-spoof , Spoof คา DNS เปนตน

25

คณสมบตของ SRAN Light

Content Analysis >> Threat Traffic

1

2

3

26

คณสมบตของ SRAN Light

Content Analysis >> Threat Traffic

1

* 1. ลกษณะเครองทมความเสยงสง เหตการณเครองมลกษณะการตด Backdoor

27

คณสมบตของ SRAN Light

Content Analysis >> Threat Traffic

11

** 1 ปกตการดกขอมล (sniffer) จะเกดขนใน Layer 2 ซงไมสามารถมองเหนคา IP ไดแตดวยเทคนค HBW ของ SRAN Light สามารถทำาใหเหนชอเครองคอมพวเตอรททำาการดกขอมลจากเทคนค ARP spoof ได

28

คณสมบตของ SRAN Light ในการตรวจหาการดกข อม ล (sniffer) ภายในองคกร Management >> Services >> Rules Configuration

กำาหนดคาเพอตรวจจบการดกขอมลในองคกร

กรอกขอมลคา IP ของ Gateway

กรอกขอมลคา MAC Addressของ Gateway

ดวยการกำาหนดคา config เพอทำาใหเมอมการดกขอมลผานเทคนค MITM (Man in The Middle) จากการปลอมแปลงขอมล MAC Address ใหมลกษณะตรงกบ MAC ของ Gateway จะทำาใหอปกรณแจงเตอนหากมคนภายในองคกรไดใชหลกการนเพอดกขอมลได

29

คณสมบตของ SRAN Light

Monitoring

Analysis

Record

การเกบบนทกผานเทคโนโลยทยนยนความถกตองของขอมล (Data Hashing)( ทำาการสบคนยอนหลงได Management >> System>> Data Archive

ระบบ Archive

12

การทำา Data Hashing โดยตรวจคา MD5

30

การตดตง SRAN Light

1. ตดตงแบบเฝาระวงและปองกนเชงลก (Inline mode)mปองกนในระดบ Application Layer ไดเหมาะกบเครอขายขนาดเลก

2.ตดตงแบบเฝาระวงและปองกนทวไป (Transparent mode) การตดตงแบบนสามารถปองกนภยคกคามในระดบ Layer 2 (MAC Address ) Layer 3 (IP Address) Layer 4 (TCP , UDP , Port services) เหมาะสำาหรบเครอขายขนาดเลก และขนาดกลาง

3. ตดตงแบบเฝาระวง (Passive mode) การตดตงแบบนสามารถเฝาระวงภยคกคามและพฤตกรรมการใชงาน เหมาะตดตงในเครอขายขนาดใหญ

31

รน SRAN Light

LT 50

LT 100

LT 500

Storage Disk 250 GBInterface 4 Port GbE (10/100/1000)IMaximum Devices - Passive/Transparent Mode = 50- In-line Mode = 20

Hardware Specification

Storage Disk 500 GBInterface 4 Port GbE (10/100/1000)IBypass mode support

Storage Disk 1024 GB Raid 1/5 Interface 8 Port GbE (10/100/1000)IBypass mode support

Maximum Devices - Passive/Transparent Mode = 100- In-line Mode = 80

Maximum Devices - Passive/Transparent Mode = 500- In-line Mode = 150

32

การตดต ง : นำา SRAN Light เช อมต อระบบเคร อข าย

การตดต งแบบ Inline และ Transparent

การตดต งแบบ Passive

33

การตดต ง : นำา SRAN Light เช อมต อระบบเคร อข าย

34

ระบบบรหารจดการ (Management)(

System

Services

ProtectionIn-line mode and Transparent modeBlock - Layer 2 MAC AddressBlock - Layer 3 IP AddressBlock – Layer 4 TCP , UDP , Port ServicesBlock – URL / Domain

35

การตดต ง : กำาหนดคาการเข าถ งระบบ

เพม User และระดบการเขาถงระบบ

เวลาครงสดทายททำาการ Login

เวลาครงสดทายททำาการ Logoutวนแรกททำาสราง Account

Management >> System >> User Management

36

การตดต ง : กำาหนดคา IP Address และค าเช อมต อระบบเคร อข าย

Management >> System >> TCP/IP Configurationในกรณทระบบเครอขายตอชนดผาน Proxy

คลก Enable

สำาหรบกรณผาน ISA

AD : Active Directory

37

ระบบบรหารจดการ (Management)(

การสงคา Log อปกรณ SRAN ไปยงอปกรณอน สามารถกำาหนดได Management >> Services >> Log Export

การกำาหนดคาความเปนสวนตวManagement >> Services >> Privacyสามารถควบคมการแสดงผลในระดบเนอหา (content) ตามนโยบายขององคกรได ตาม Application Protocol

38

ระบบออกรายงาน (Report)

- รายงานการใชงานปรมาณ Bandwidth ทสามารถเลอกชวงเวลาได

- รายงานการใชงานตาม Protocol ทสามารถเลอกชวงเวลาได

- รายงานภาพรวมการใชงานไอทในองคกร

- รายงานการใชงานไอทตามรายแผนก

- รายงานการใชงานไอทตามรายบคคล

โดยสามารถเลอกรปแบบการแสดงผลในรปแบบไฟล CSV, HTML

ทงยงสามารถออกรายงานผลเพอเชอมโยงระบบมอถอไดผานชองทาง XML

39

Organization Report

ภาพรวมการใชงานไอทในองคกร

40

Department Report

สามารถสรางรายงานไดดงน

- เปน file HTML

- เปน file Excel

- เปน file XML

41

User Report

- HTML

- Excel

- XML

42

ประโยชนทไดรบจากการใช SRAN Light

1. สามารถเกบบนทก Log File และจดเปรยบเทยบใหสอดคลอง พ.ร.บ. วาดวยการกระทำาความผดเกยวกบคอมพวเตอรโดย- ระบตวตนผใชงานได- ระบพฤตกรรมการใชงาน ตามหลก Who (ใคร) What (ทำาอะไร) Where (ทไหน) When (เวลาใด) Why/how (อยางไร))

2. ชวยใหทราบถงพฤตกรรมการใชงาน IT ภายในองคกร โดยเชอมโยง IP Address และ MAC Address เขากบขอมลรายชอพนกงาน ซงสามารถเพมรปพนกงานเขาไปในระบบได พรอมเกบประวตการใชงาน และสามารถเลอกดการใชงานแบบ Real Time Monitoring ผานระบบได

3. สามารถจดเกบคา Inventory

- รายชอพนกงานบรษท (Name)(

- ชอแผนก (Department)(

- ชอระบบปฏบตการของพนกงาน (Operating System)(

- คา MAC Address แตละเครองในองคกร

43

ประโยชนทไดรบจากการใช SRAN Light

4. รายงานผลการใชงานขอมลสารสนเทศ

- รายงานการใชงานปรมาณ Bandwidth ทสามารถเลอกชวงเวลาได

- รายงานการใชงานตาม Protocol ทสามารถเลอกชวงเวลาได

- รายงานภาพรวมการใชงานไอทในองคกร

- รายงานการใชงานไอทตามรายแผนก

- รายงานการใชงานไอทตามรายบคคล

โดยสามารถเลอกรปแบบการแสดงผลในรปแบบไฟล CSV, HTML ทงยงสามารถออกรายงานผลเพอเชอมโยงระบบมอถอไดผานชองทาง XML

44

ประโยชนทไดรบจากการใช SRAN Light

5. เฝาระวงพฤตกรรมการใชงาน โดยสามารถกำาหนด Rule Policy ตามนโยบายบรษทได เพอปองกนการละเมดสทธสวนบคคลของพนกงานในองคกร

6. บนทกขอมลดวยกระบวนการทยนยนความถกตอง (MD5) พรอมทงเรยกดยอนหลงตามวนเวลาทเกบได อยางนอย 90 วนพรอมสงขอมลทบนทกไวเปนเกบในระบบ storage ได

7. นำาเสนอสถตการใชงานรายแผนก รายบคคล ชวยใหการพยากรณการลงทนระบบไอซทในองคกรมประสทธภาพมากขน

45

คำาถามทถามบอยเกยวกบ SRAN Light

1. SRAN Light สามารถสบคนหา พนกงานทกำาลงดกขอมล โดยใช ซอฟตแวรประเภท Sniffer ไดหรอไม

ตอบ : SRAN Light ถกออกแบบมาใชเฝาระวงภยคกคามอกทงยงเกบบนทกขอมลจราจร (Log) ทจำาเปน

การตรวจจบการดกขอมลนน SRAN Light สามารถทำาไดรายละเอยด http://www.sran.net/archives/222

2. หากในเครอขายองคกร มการใชงานแบบ Pool User , Multi-User หลายคนใชเครองเดยวกน

SRAN Light สามารถระบตตวตนผใชงานไดหรอไม

ตอบ : สามารถเกบบนทกขอมลและระบตวตนผใชงานแบบ Pool User , Multi-User ได

ซงรายละเอยดสามารถอานไดท http://www.sran.net/archives/240

3. หากในเครอขายองคกรเปนระบบ DHCP แยก IP ชนด Dynamic แกผใชงาน SRAN Light

สามารถระบผใชงานไดหรอไม

ตอบ : ไดเนองจาก SRAN ไดพฒนาเทคโนโลย HBW ซงสวนนจะชวยในการบนทกคา MAC

กบการเชอมโยงรายชอ User โดยท User ไมตองลงซอฟตแวรใดๆ (Agent less)

46

บร การอ นๆ SRAN

บรการ One Security Services

บรการ Anti-Hacking Services

บรการ IT Forensic Services

บรการ PCI DSS Certification

บรการ SRAN Data Safehouse

47

ใบรบรองคณภาพสนคา (Certification)(

การรบรองมาตรฐาน ISO 9001 : 2008 เลขท 7426661258เปนการยนยนวาผลตภณฑและบรการดานการรกษาความปลอดภยขอมลสารสนเทศ ภายใตเครองหมายการคา SRAN มมาตรฐานคณภาพระดบสากล และรบประกนวากระบวนการวางแผน, การผลต, การดำาเนนงาน และการบรหารจดการ มคณภาพทเชอถอได

ใบประกาศเกยรตคณจากกองบญชาการตำารวจสอบสวนกลาง สำานกงานตำารวจแหงชาต

ซอฟตแวร SRAN ไดรบตราสญลกษณ Thailand Software Yes ภายใตโครงการรณรงคการใชซอฟตแวรไทย (Buy Thai First) ซงเปนความรวมมอระหวางสำานกงานสงเสรมอตสาหกรรมซอฟตแวรแหง ชาต (SIPA) และสมาคมอตสาหกรรมซอฟตแวรไทย (ASTI)(

ผลตภณฑ SRAN ไดรบมาตรฐานฮารดแวรสากล ไดแก FCC , CE , UL และ RoHS เปนฮารดแวรทเปนมตรกบสงแวดลอม

ไดมอบรางวลโลพระอาทตยทองคำาใหกบ องคกรเดนทนำาซอฟตแวรไทยมาใชอยางเปนเลศ

รายละเอยดเอกสารอานไดท http://sran.org/1s

48

Thank youwww.gbtech.co.th , www.sran.net

e-mail : [email protected]